蜜罐系统HFish的部署与功能实测

1. 引入

根据参考1对蜜罐的定义:

  1. 蜜罐(Honeypot)是一个计算机科学领域的术语,指用于检测或防御未经授权的行为或黑客攻击的陷阱。其名称来源于其工作原理类似于用来诱捕昆虫的蜜罐。
  2. 蜜罐通常伪装成看似有利用价值的网路、资料、电脑系统,并故意设置了bug,用来吸引骇客攻击。由于蜜罐事实上并未对网路提供任何有价值的服务,所以任何对蜜罐的尝试都是可疑的。蜜罐中还可能装有监控软件,用以监视骇客入侵后的举动。

根据参考3,我们可以知道蜜罐的价值:

  1. 蜜罐是对攻击者的欺骗技术,用以监视、检测、分析和溯源攻击行为,其没有业务上的用途,所有流入/流出蜜罐的流量都预示着扫描或者攻击行为,因此可以比较好的聚焦于攻击流量。
  2. 蜜罐可以实现对攻击者的主动诱捕,能够详细地记录攻击者攻击过程中的许多痕迹,可以收集到大量有价值的数据,如病毒或蠕虫的源码、黑客的操作等,从而便于提供丰富的溯源数据。另外蜜罐也可以消耗攻击者的时间,基于JSONP等方式来获取攻击者的画像。
  3. 但是蜜罐存在安全隐患,如果没有做好隔离,可能成为新的攻击源。

有没有什么快速部署一个蜜罐进行体验的方法呢?

2. HFish

从参考3可以看到关于HFish的更多描述:

  1. HFish是一款针对企业安全场景的社区型免费蜜罐,旨在提高用户在失陷感知和威胁情报领域的综合能力。它从内网失陷检测、外网威胁感知和威胁情报生产三个场景出发,为用户提供独立且实用的功能,通过中低交互蜜罐来增强用户的安全防护能力。
  2. HFish具有多种独特的特性,包括超过40种蜜罐环境、免费的云蜜网、高度自定义的蜜饵能力、一键部署、跨平台多架构支持、国产操作系统和CPU的适配、极低的性能要求、以及多种告警方式如邮件、syslog、webhook、企业微信、钉钉和飞书等。这些特性有助于降低用户的运维成本,提高运营效率。
  3. HFish支持分布式多节点部署。HFish采用B/S架构,系统由管理端和节点端组成,管理端用来生成和管理节点端,并接收、分析和展示节点端回传的数据,节点端接受管理端的控制并负责构建蜜罐服务。在HFish中,管理端只用于数据的分析和展示,节点端进行虚拟蜜罐,最后由蜜罐来承受攻击。

在linux下,可以参考4来进行快速的安装部署。

3. ubuntu下部署单节点HFish的步骤

  1. 确认ubuntu防火墙状态
(base) root@xdfweds:~# ufw status
Status: inactive

笔者这里防火墙是关闭的,否则需要参考4来让防火墙开启4433、4434端口。

  1. 在root模式运行如下命令来安装HFish
bash <(curl -sS -L https://hfish.net/webinstall.sh)
  1. 远程浏览器打开 登陆链接:https://[ip]:4433/web/
  • 默认用户名密码见参考4
  1. 选择SQlite
    蜜罐系统HFish的部署与功能实测_第1张图片

4. 实测效果

  1. 登录后,稍等3分钟,就能在首页看到,笔者这台阿里云服务器,在这几分钟之内,就被扫描了151次,被攻击了5次
    蜜罐系统HFish的部署与功能实测_第2张图片

  2. 攻击列表
    能看到所有攻击的来源IP,也能进行搜索过滤
    蜜罐系统HFish的部署与功能实测_第3张图片

  3. 扫描感知
    该页面用于展示HFish蜜罐节点被TCP、UDP和ICMP三种协议的全端口扫描探测行为。
    即使节点相关端口没有开放,HFish仍能记录下扫描行为,此外,HFish还会记录节点主机本身外联行为。目前扫描感知列表内能够展示的信息如下: 扫描IP,威胁情报,被扫描节点,被扫描IP,扫描类型,被扫描端口,节点位置, 扫描开始时间,扫描持续时间。
    蜜罐系统HFish的部署与功能实测_第4张图片

可以看到,就部署HFish后的5分钟之内,主机就遭受来自很多个不同国家的扫描。

  1. 失陷感知页面
    这需要配置诱饵才可能有效果,关于诱饵的配置,详见参考5.

(1)什么是诱饵
诱饵泛指任意伪造的高价值文件(例如运维手册、邮件、配置文件等),用于引诱和转移攻击者视线,最终达到牵引攻击者离开真实的高价值资产并进入陷阱的目的。

(2)蜜饵使用场景
HFish的蜜饵在 牵引 攻击者的功能上增加了 精确定位失陷 能力,即每个蜜饵都是 唯一的,攻击者入侵用户主机后,如果盗取蜜饵文件中的数据并从任意主机发起攻击,防守者仍能知道失陷源头在哪里。

(3)举个例子:
攻击者侵入企业内部某台服务器,在其目录中找到一个payment_config.ini文件,文件中包含数据库主机IP地址和账号密码,
攻击者为隐藏自己真实入侵路径,通过第三台主机访问数据库主机

从笔者部署访问的页面中可以看到
蜜罐系统HFish的部署与功能实测_第5张图片

HFish默认给定了四个文件蜜饵,还可以人工修改文件的内容。
蜜罐系统HFish的部署与功能实测_第6张图片

  1. 攻击来源
    当前页面存储了尝试连接和攻击节点端的每一个IP,及该IP的过往攻击记录。
    蜜罐系统HFish的部署与功能实测_第7张图片

  2. 账号资产
    攻击者在所有HFish蜜罐登录界面中输入的账号、密码都将被记录和整理,可用于:统计当前被攻击的账号密码,用于内部自查;使用「企业信息监控」功能,填写企业域名、邮件、员工姓名等敏感信息,实时监控外部失陷账户。

  3. 样本检测
    样本检测能力由微步在线云沙箱免费提供支持。其能提供完整的多维检测服务,通过模拟文件执行环境来分析和收集文件的静态和动态行为数据,结合微步威胁情报云,分钟级发现未知威胁。

  4. 漏洞模拟与威胁检测
    HFish的威胁检测将使用 YARA语言,对所有蜜罐收集到的攻击原始信息进行关键词检测。其中,漏洞模拟与检测类型的规则为云端更新,开启网络访问权限后,该部分规则为自动更新。
    详细说明:漏洞模拟与威胁检测使用介绍见参考6.
    如下是部署后默认提供的漏洞检测:
    蜜罐系统HFish的部署与功能实测_第8张图片

也可以查看各个漏洞检测的YARA细节,比如“Java Applet JMX远程代码执行(CVE-2013-0422)”是这样写的:
蜜罐系统HFish的部署与功能实测_第9张图片

  1. 服务管理

这是默认给定的蜜罐服务,还可以新增服务,这开源的功能就已经很强大了。
蜜罐系统HFish的部署与功能实测_第10张图片

  1. 大屏
    大屏显示很漂亮。

5. 卸载

参考7给出了卸载步骤。下面是ubuntu上卸载的步骤:

root@abababa:~# ps aux | grep hfish
root      499442  0.2  0.2 711436 12012 pts/0    Sl   21:23   0:02 /opt/hfish/hfish
root      499453  2.0  7.7 1088160 312768 ?      Ssl  21:23   0:16 /opt/hfish/hfish-server -d /opt/hfish/3.3.3
root      499713  0.0  0.0   8900   724 pts/4    S+   21:37   0:00 grep --color=auto hfish
root@abababa:~# kill 499442
root@abababa:~# kill 499453
root@abababa:~#
root@abababa:~#
root@abababa:~# ps aux | grep hfish
root      499719  0.0  0.0   8900   724 pts/4    S+   21:38   0:00 grep --color=auto hfish
root@abababa:~# rm -rf /opt/hfish
root@abababa:~# rm -rf /usr/share/hfish

先kill掉hfish,然后rm两个位置即可。

6. 总结

本文从蜜罐的定义,到如何安装部署一个真实的蜜罐系统,再到蜜罐系统的细节功能进行讲解。

7. 参考

  1. https://zh.wikipedia.org/zh-hans/%E8%9C%9C%E7%BD%90_(%E9%9B%BB%E8%85%A6%E7%A7%91%E5%AD%B8)
  2. https://websec.readthedocs.io/zh/latest/defense/honeypot.html
  3. https://github.com/hacklcx/HFish
  4. https://hfish.net/#/2-2-linux
  5. https://hfish.net/#/4-4-internetdecoy
  6. https://hfish.net/#/4-3-detection
  7. https://hfish.net/#/5-7-uninstall

你可能感兴趣的:(ubuntu,linux,运维)